Главными проблемами являются рост рисков сохранения данных, доступа к продукту или вообще кибератак, которые могут привести к потере данных клиентов и ресурсов. За последние полгода войны Украину атаковали вражеские хакеры более 1000 раз. Кроме правительственных и оборонных секторов, значительно пострадали финансовые и коммерческие организации. Средняя стоимость утечки данных в мире в 2022 году выросла на 2,6% – с 4,24 миллиона долларов до 4,35 миллиона долларов.
Не пропустите Что вы делаете не так: 8 ошибок киберзащиты, которые допускает бизнес
Именно поэтому безопасность в сети стала одним из главных вызовов в работе LegalTech-продуктов. Специально для 24 канала директор ActiveLex Владимир Иванов рассказал, какой должна быть безопасность таких продуктов и почему это действительно важно.
Что такое безопасность LegalTech-продуктов
Нужно не менее 20 лет, чтобы создать положительную репутацию и всего 5 минут, чтобы ее потерять. Невозможно не согласиться с этой фразой в контексте кибербезопасности для LegalTech-сервисов.
Причин здесь несколько. Первая: основная аудитория таких продуктов – юристы, нотариусы, адвокаты, которые, пользуясь услугами LegalTech, так или иначе загружают и обрабатывают персональные данные клиентов или просто ищут, или хранят важную информацию. Вторая: доступ к ресурсам и быстрота их работы. От первого и второго часто зависит решение суда, удостоверение или заверение определенного поручения. Поэтому сбой с безопасностью LegalTech-продукта действительно может вызвать кризис репутации и доверия.
Сегодня кибербезопасность для бизнеса и сферы ИТ-продуктов – далеко не сломанные пароли. В первую очередь это:
- Доступ пользователей к сайту, приложению, платформе;
- Безопасность введенных и сохраненных данных при работе непосредственно с самим продуктом (скажем, история поиска в браузере может быть более конфиденциальной, а ее утечка иметь более губительное влияние, чем доступ к паролю банковской карты);
- Безопасность почт;
- Безопасность домена и серверов;
- Безопасность доступа к облаку или облачным сервисам;
- Безопасность удаленного доступа;
- Безопасность партнеров и контрагентов (в течение 2021 злоумышленники применяли метод, когда атаковали не свою конечную цель, а кого-то из их цепи поставки и таким образом получали доступ к сайту, программе и т.п.).
То есть, как видим, безопасность ИТ-продуктов – это гораздо более объемная структура, чем только утечка данных.
Например, DDOS-атаки препятствуют доступу пользователей к сайтам или приложениям: перегружают канал и программа или платформа не работают. Так произошло в Украине с государственными и крупными частными компаниями за несколько недель до полномасштабного вторжения России.
Крупнейшие государственные украинские банки подверглись DDOS-атакам. К примеру, пользователи ПриватБанка столкнулись с проблемами некорректной работы сервисов и сайта компании. То же самое было с применением Действия, государственными реестрами, сайтами Верховной Рады, правительства и т.д. К сайтам не было доступа, с открытыми данными невозможно было работать. А юристам потребовалась срочная выдержка решения суда, чтобы строить защиту, или адвокату – доступ к тексту закона или нотариусу – к оформлению документа. Это все важные процессы, которые каждому специалисту отдельно нельзя было откладывать.
Решением проблемы для представителей сферы юриспруденции стали как раз LegalTech-продукты, где хранятся полные тексты законов, актов, выписок из реестров, ведомственных актов. Увеличение юзеров и запросов на демоверсию мы отследили и на собственной платформе Lex, где собираем и обрабатываем все нужные для работы юристов, адвокатов и нотариусов документы.
То есть казалось бы просто доступ к тому или иному ресурсу влияет на цепную реакцию на большое количество секторов и автоматически приводит к сбоям в работе ряда людей.
Как гарантировать безопасность LegalTech-сервисов
За рубежом юридические компании или юристы в крупных компаниях, принимая решение о той или иной CRM, программе или сервисе для оптимизации работы юристов, всегда проверяют разработчиков относительно характеристик безопасности. Точнее, этим занимается служба безопасности, которая особенно обращает внимание на:
Наличие защищенных серверов. К примеру, если речь идет об Украине, то защищенными считаются серверы за ее пределами. Ведь в них банально может попасть ракета, они окажутся под обстрелами или обесточится электропитание. Поэтому информационно-аналитическая платформа для юристов развернута и работает на серверах немецкого дата-центра. Поскольку автоматизация процессов и надежна как физическая, так и киберзащита – наши приоритеты.
Возможность бекапировки. Чрезвычайно важна функция хранения и копирования данных, проводимая по схеме "3-2-1" – три копии данных, хранящихся на двух разных типах носителей, один из которых находится в отдельном месте.
Соответствие LegalTech-продуктов общему регламенту защиты данных (GDPR) . Это постановление ЕС, которым Европарламент усиливает защиту персональных данных. Несоблюдение этого регламента чревато компаниям миллионными штрафами. Так что даже не собирая, а только обрабатывая персональные данные в LegalTech-сервисах, нужно следить за максимальной защитой полученной информации.
Также службы безопасности юркомпаний обращают внимание на репутацию стартапа или продукта, подрядчиков, историю деятельности.
Непрерывное обучение
Безопасность – это всегда двусторонний процесс. Знающие пользователи меньше открывают фишинговые письма, клиенты, следующие прописанным правилам безопасности, сами могут сообщить о мошенничестве. Учиться кибербезопасности никогда не рано и не поздно, мало того, знание периодически нужно обновлять. По данным компании Solicitors Regulation Authority , 20% опрошенных ими фирм ни разу не уделяли внимания соответствующему обучению персонала. А 50% не протоколировали тематические встречи и таким образом не могут усовершенствовать и восстановить в случае необходимости знания. В настоящее время действуют международные программы по обучению кибербезопасности, разработанные специально для юридических фирм.
Читайте на сайте Современная IT-лаборатория с компьютерами Apple заработала для студентов ЛНУ имени Ивана Франко
Особенно это важно для тех, кто работает удаленно. Интересен опыт разработки отдельных каналов связи юристов с IT-специалистами, которые в случае чего могут оперативно сообщить о киберугрозе. Еще раз следует напомнить о своевременном обновлении защитного программного обеспечения и включении шифрования, двухфакторной идентификации и других важных моментах.
С ростом спроса на программы LegalTech растет и риск кибератак. Своевременная защита и предотвращение возможных угроз позволяет сохранить персональные данные клиентов и не потерять многолетнюю репутацию компаний. Проверка поставщиков IT-продуктов и обучение персонала основам кибербезопасности на основе современных вызовов – главные залог успеха.